-
0 -
Fernando Ferrer Olivares CISA, CISM, PMP, CCSA
COBIT Trainer Accredited By ISACA and APMG Enero de 2014
10/02/2014 1
COBIT 5 El estado actual de la familia de
productos COBIT 5
-
0 -
Fernando Ferrer Olivares Ingeniero de Sistemas y Computacin
Especialista en Auditora de Sistemas de Informacin Programa de
Gerencia Estratgica en Informtica CISA, CISM, CCSA, PMP, CFC 4.1 y
5, COBIT Trainer Accredited by ISACA and APMG Profesional Experto
Banco de la Repblica Socio Fundador FERROL International Group
Participante en varios Comits de ISACA y Presidente Actual ISACA
Bogot Ms de 25 aos de experiencia como Consultor, Profesor
Universitario y Expositor en Eventos Nacionales e Internacionales
(IT/Governance, Auditora, Seguridad Informtica, Gestin, Controles y
Desarrollo Organizacional) [email protected] ;
[email protected] ; 57-1-2203785 o 57-3142950236 o
57-3176441845
Conferencista
10/02/2014 2
Tiempo estimado: 60 minutos
-
0 -
BIENVENIDOS
Por favor presntese, mencione sus expectativas de la
conferencia
Conferencia
!
-
0 -
Propsitos de la Conferencia
10/02/2014 4
Proveer el conocimiento y entendimiento acerca de COBIT que
permita: Identificar la diferencia entre Gobierno y Gestin de
Tecnologa de la Informacin (TI) Comprender la estructura de
COBIT 5 Presentar los dems productos de la familia COBIT 5
Presentar la direccin de ISACA respecto a COBIT 5
-
0 -
Conceptos: Gobierno, COBIT 4.1
COBIT 5
COBIT 5 for Assurance
Agenda de la Conferencia
-
0 -
El marco de trabajo de COBIT est basado sobre la premisa que TI
necesita entregar la informacin que una empresa requiere para
alcanzar sus objetivos
i
Recursos y procesos de TI
Informacin
Procesos de negocio
Objetivos de negocios
Brindan
Para
Para alcanzar
El marco de trabajo de COBIT ayuda a alinear TI con el negocio
al enfocarse sobre los requerimientos de informacin del negocio y
organizar los recursos de TI. El objetivo es facilitar el gobierno
de TI para entregar valor desde TI al mismo tiempo que se
administran los riesgos de TI
COBIT 4.1 Premisas
-
0 -
Orientacin a procesos El administrar los procesos
permitir: contar con vistas individuales
y holsticas de los procesos mejorar la calidad de los
productos enfocarse en el mejoramiento
continuo de los procesos y no en la resolucin de incidentes y
problemas
La definicin, asignacin y aceptacin de la propiedad de los
procesos, facilitar mantener el control durante los perodos de
cambios rpidos o de crisis organizacional
Tener aceptacin general entre las organizaciones
Definir un lenguaje comn
Ayudar a alcanzar los requerimientos regulatorios
Brindar un enfoque fuerte en el negocio
Asegurar la orientacin a procesos
Marco de trabajo
COBIT 4.1 Orientado a Procesos
-
0 -
La estructura de COBIT 4.1
Objetivos de
Control
Prcticas de Control
Pruebas al Diseo de los Controles
Actividades clave
reas Funcionales (Roles de participacin)
Modelos de Madurez
Medidas de resultados
Indicadores de desempeo
Objetivos del Negocio Requerimientos Informacin
Implem
entados con
Medidos
por Comparados mediante
Diagrama RACI
Pruebas a los Resultados del Control
Derivadas de
Basados en
Objetivos de TI
Procesos de TI
Entradas y Salidas Objetivos
-
0 -
OBJETIVOS DEL NEGOCIO OBJETIVOS DE GOBIERNO
Eficiencia
Aplicaciones Informacin Infraestructura Personas
ENTREGAR Y DAR SOPORTE
MONITOREAR Y EVALUAR
ADQUIRIR E IMPLEMENTAR
INFORMACION
RECURSOS DE TI
MARCO DE TRABAJO C O B I T
Efectividad Confidencialidad
Integridad
Disponibilidad Cumplimiento
PLANEAR y ORGANIZAR
Confiabilidad
DS1 Definir y administrar niveles de servicios.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos. DS7 Educar y entrenar a los
usuarios. DS8 Administrar la mesa de servicio y
los incidentes. DS9 Administrar la configuracin. DS10
Administrar los problemas. DS11 Administrar los datos. DS12
Administrar el ambiente fsico. DS13 Administrar las
operaciones.
ME1 Monitorear y evaluar el desempeo de TI.
ME2 Monitorear y evaluar el control interno.
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
PO1 Definir el plan estratgico de TI. PO2 Definir la
arquitectura de la
informacin. PO3 Determinar la direccin
tecnolgica. PO4 Definir procesos, organizacin y
relaciones de TI. PO5 Administrar la inversin en TI. PO6
Comunicar la direccin y melas
aspiraciones y la direccin de la gerencia.
PO7 Administrar recursos humanos de TI. PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI. PO10 Administrar
proyectos.
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica.
AI4 Facilitar la operacin y el uso. AI5 Adquirir recursos de TI.
AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y
cambios.
Marco de Trabajo de COBIT 4.1
-
0 -
Las actividades de gobierno de TI pueden ser agrupadas en las
siguientes cinco reas de enfoque:
Alineamiento Estratgico
Administracin de Riesgos
Administracin de Recursos
Medicin del Desempeo
Entrega de Valor $
Gobierno de TI reas de Enfoque
-
0 -
El gobierno corporativo es un conjunto de responsabilidades y
prcticas ejecutadas por la junta directiva y la gerencia ejecutiva
con el objetivo de:
Proveer direccin estratgica. Asegurar el logro de los objetivos.
Establecer que los riesgos se administran adecuadamente. Verificar
que los recursos de la empresa se utilizan
responsablemente.
Qu es Gobierno Corporativo?
-
0 -
Gobierno de TI es parte del gobierno corporativo.
Se define como la estructura de relaciones y procesos para
dirigir y controlar la empresa hacia el logro de sus objetivos por
medio de agregar valor al mismo tiempo que se logra un balance del
riesgo versus el retorno sobre la TI y sus procesos.
Riesgo Versus Retorno
Qu es Gobierno de TI?
-
0 -
La Junta Directiva y la Gerencia Ejecutiva son responsables del
gobierno de TI, el cual involucra estructuras y procesos que
dirigen la organizacin hacia el logro de sus objetivos.
Dirigir y Controlar
Rendicin de Cuentas
Actividades
Responsabilidad
Principios de Gobierno de TI
-
0 -
Las reas de TI deben ser capaces de responder las siguientes
preguntas (Cuatro Estamos)
La pregunta de Arquitectura
La pregunta de Valor
La pregunta de Entrega
La pregunta Estratgica
Estamos logrando que se hagan bien
Estamos obteniendo los beneficios?
Estamos haciendo las cosas correctas?
Estamos haciendo las cosas de la forma adecuada?
Los 4 Estamos
-
0 -
Conceptos: Gobierno, COBIT 4.1
COBIT 5
COBIT 5 for Assurance
Agenda de la Conferencia
-
0 -
Gobierno de la TI Empresarial (Governance of Enterprise IT)
Gobierno Empresarial de TI
COBIT 5
Gobierno de TI (IT Governance)
COBIT4.0/4.1
Val IT 2.0 (2008)
Risk IT (2009)
BMIS (2010)
La evolucin de COBIT 5
Gestin (Management)
COBIT3
Control
COBIT2
Auditora
COBIT1
2005/7 2000 1998
Evo
luci
n
1996 2012
-
0 -
Integrar y reforzar marcos de referencia y guas ms importantes
de ISACA en COBIT
Contar con un marco de referencia renovado y con la autoridad
necesaria para el gobierno y la gestin de la informacin empresarial
y las tecnologas relacionadas
Alinear con los principales marcos de referencia y estndares
Por qu desarrollar COBIT 5?
-
0 -
Proporcionar orientacin en: Arquitectura empresarial Gestin de
activos y de servicios Nuevas maneras de adquisicin de recursos
y
modelos empresariales Innovacin y nuevas tecnologas
La necesidad de cubrir todos los aspectos del negocio y las
responsabilidades funcionales de TI
Razones para desarrollar un Marco de Referencia
-
0 -
Familia de productos
-
0 -
COBIT 5 se basa en: 5 principios y 7 catalizadores
Estructura de COBIT 5
-
0 -
-
0 -
Principio 1: Satisfacer las necesidades de las partes
interesadas
La cascada de metas de COBIT 5 permite la definicin de
prioridades para Implementacin Mejora Aseguramiento del
gobierno empresarial de TI
-
0 -
COBIT 5 abarca el gobierno y la gestin de la informacin y
tecnologa relacionada desde una perspectiva empresarial de extremo
a extremo
COBIT 5: Integra el gobierno empresarial de TI con el
gobierno
corporativo Cubre todas las funciones y procesos dentro de la
empresa No se enfoca slo en la funcin de TI
Principio 2: Cubrir la empresa de extremo a extremo
-
0 -
COBIT 5: Se alinea con estndares y marcos de referencia ms
recientes y pertinentes Integra todo el conocimiento hasta ahora
disperso en
diferentes marcos de referencia de ISACA Es completo en la
cobertura de la empresa
Principio 3: Aplicar un marco de referencia nico integrado
-
0 -
COBIT 4.1 Objetivos de
Control
VAL IT 2.0 Prcticas Claves de Gestin
RISK IT Prcticas de Gestin
COBIT 5 Prcticas de Gobierno y de Gestin
-
0 -
Cobertura de COBIT 5
-
0 -
Otros Marcos de Referencia de Gobierno de TI
COSO
COBIT
ISO 27002 ISO 9000
ITIL
Qu? Cmo?
Alcance
-
0 -
Dnde encaja COBIT? Conductores (Razn)
Gobierno Empresarial
Gobierno de TI
Mejores prcticas
Procesos y procedimientos
DESEMPEO Objetivos del Negocio
CONFORMIDAD (CUMPLIMIENTO) Basileal II, Sarbanes-Oxley Act, y
otros.
COSO
COBIT
ISO/IEC 20000 Gestin del Servicio
Principios de Seguridad
Procedimientos de Calidad
Principios de Administracin de Servicios de TI (ITIL)
ISO/IEC 27002 Gestin de Seguridad de la Informacin
ISO/IEC 9001:2000 Gestin de la Calidad
Balanced Scorecard
-
0 -
COBIT 5 define un conjunto de catalizadores para apoyar la
implementacin del gobierno y la gestin de TI. Los catalizadores de
COBIT 5 son: Los factores que individual y colectivamente influyen
en el
logro de los objetivos Impulsados por la cascada de metas
Descritos por el marco de referencia de COBIT en siete
categoras
Principio 4: Hacer posible un enfoque holstico
-
0 -
-
0 -
Dimensiones de los catalizadores de COBIT 5
-
0 -
Propsito: Transmitir la direccin y las instrucciones del rgano
de gobierno y de gestin.
Son instrumentos para comunicar las normas de la empresa, en
apoyo de los objetivos de gobierno y los valores de la empresa segn
lo definido por el Consejo de Administracin y la Direccin
Ejecutiva
Principios, Polticas y Marcos de Referencia
-
0 -
Procesos Gobierno y Gestin
-
0 -
Los procesos tienen partes interesadas internas y externas, cada
una con sus propios roles;
Las partes interesadas y sus niveles de responsabilidad estn
documentadas en las matrices RACI.
Entre las partes interesadas externas se incluyen a los
clientes, socios comerciales, accionistas y reguladores.
Entre las internas se incluyen el Consejo de Administracin, la
direccin, empleados y voluntarios
-
0 -
Metas intrnsecas: El proceso dispone de la calidad intrnseca? Es
preciso y est alineado con las buenas prcticas? Cumple con las
reglas externas e internas?
Metas contextuales: El proceso se particulariza y se adapta a la
situacin especfica de la empresa? Es relevante, comprensible y fcil
de adaptar?
Seguridad y Acceso: El proceso se mantiene confidencial, y
cuando se requiere, est a disposicin de quin tiene la necesidad
-
0 -
-
0 -
Las buenas prcticas de una estructura organizativa se distinguen
por: Principios de funcionamiento El alcance del control Nivel de
autoridad La delegacin de responsabilidad Procedimientos de
escalamiento
Catalizador 3: Estructuras Organizativas
-
0 -
Las buenas prcticas para crear, fomentar y mantener un
comportamiento deseado en toda la empresa incluyen: Comunicacin de
la conducta deseada y los valores corporativos en
toda la empresa Conocimiento de la conducta deseada, fortalecido
con el ejemplo de
la alta direccin Incentivos para alentar y los elementos de
disuasin para hacer
cumplir el comportamiento deseado
Catalizador 4: Cultura, tica y Comportamiento
-
0 -
Catalizador 5 - Informacin Criterio de Informacin
Significado Corresponde a los siguientes objetivos de
Calidad
Efectividad Informacin relevante y pertinente para los procesos
de negocio, adems de ser entregada en forma oportuna, correcta,
consistente y utilizable
Cantidad apropiada Relevante Comprensible Que pueda ser
interpretada Objetiva
Eficiencia Se refiere a la provisin de informacin a travs del
ptimo ms productivo y econmico uso de los recursos
Accesibilidad Facilidad de operacin
Confidencialidad Se refiere a la proteccin de la informacin
sensible contra divulgacin no autorizada
Acceso restringido de informacin
Integridad Se refiere a la exactitud de la informacin, as como
su validez de acuerdo con los valores empresariales y las
expectativas
Completa Exacta
Disponibilidad Se refiere a la informacin que est disponible,
cuando sea requerido por el proceso de negocio, en el presente y en
el futuro. Tambin se refiere a la salvaguardia de los recursos y
capacidades necesarias asociadas
Cumplimiento (conformidad)
En el sentido de que la informacin debe cumplir con las
especificaciones
Confiabilidad (reliability)
Informacin en la que se puede confiar Credibilidad Reputacin
Objetividad
-
0 -
Posibles usos del Modelo de Informacin Establecer
especificaciones de informacin Definir el nivel de proteccin
requerido Determinar la facilidad de uso de datos
Catalizador 5 - Informacin
-
0 -
-
0 -
Son buenas prcticas y guas que rigen la implementacin y
utilizacin de los recursos relacionados con TI dentro de la
empresa
Servicios / Infraestructura / Aplicaciones
Principios de Arquitectura
-
0 -
Identificar las buenas prcticas de las personas, las habilidades
y competencias, especficamente: Describir los diversos niveles de
habilidad requeridos para
las diferentes funciones Definir requerimientos de habilidades
para cada funcin Asignar categoras de habilidades para cada dominio
de
proceso de COBIT 5 (APO, BAI, etc.)
Personas, Habilidades y Competencias
-
0 -
-
0 -
Principio 5: Separar el gobierno de la gestin
-
0 -
Familia de Productos COBIT 5
10/02/2014 46
Un Marco de Referencia para el
Gobierno y la Gestin de la TI Empresarial
Habilitando los Procesos
El proceso EDM02 Asegurar la Entrega de Beneficios es utilizado
para realizar un
recorrido (Walk Through) por la Gua
Habilitando la Informacin
Implementacin
-
0 -
Familia de Productos COBIT 5
10/02/2014 47
COBIT 5 for Information Security
COBIT 5 for Assurance
COBIT 5 for Risk
-
0 -
Familia de Productos COBIT 5
10/02/2014 48
Modelo de Valoracin (Evaluacin) de Procesos (PAM): Usando COBIT
5
Gua complementaria acerca de la Capacidad de Procesos con
extractos de PAM para COBIT
Gua del Valorador (Evaluador):
Usando COBIT 5
Gua de Auto-Valoracin
(Evaluacin): Usando COBIT 5
Modelo de Valoracin
(Evaluacin) de Procesos (PAM):
Usando COBIT 4.1
-
0 -
Familia de Productos COBIT 5
10/02/2014 49
Gestin de la Configuracin
Usando COBIT 5
Transformando la Ciberseguridad Usando COBIT 5
Asegurando Dispositivos Mviles Usando COBIT 5 para
la Seguridad de la Informacin
-
0 -
Entrenamiento en COBIT 5
-
0 -
Formato del examen: En lnea 50 preguntas seleccin mltiple 25
respuestas correctas requeridas para aprobar (50%) 40 minutos A
libro cerrado
Preparacin para el examen: Auto-estudio Cursos de preparacin
Simulacros
El examen de Certificacin
-
0 -
ISACA considera que el enfoque del Programa de Evaluacin de
COBIT 5 es un mtodo de evaluacin de capacidad de procesos ms
robusto, confiable y repetible
El Programa de Evaluacin de COBIT soporta: Evaluaciones formales
por evaluadores acreditados Autoevaluaciones menos rigurosas para
anlisis de brechas
internas y la planeacin de la mejora de los procesos
Potencialmente permite a una empresa obtener evaluaciones
independientes y certificadas alineadas con la norma ISO/IEC
15504
Evaluaciones de capacidad de procesos
10/02/2014 52
-
0 - 10/02/2014 53
-
0 -
El Programa de Evaluacin de COBIT incluye: COBIT Process
Assessment Model (PAM) Using
COBIT 4.1 & 5 o Sirve como un documento de referencia base
para la
realizacin de una evaluacin de la capacidad de los procesos
actuales de TI en una organizacin contra COBIT
COBIT Assessors Guide using COBIT 4.1 & 5 o Proporciona
detalles sobre cmo llevar a cabo una completa
evaluacin completa del cumplimiento de la norma ISO
COBIT Self Assessment Guide Using COBIT 4.1 & 5 o Provee gua
sobre cmo llevar a cabo una auto-evaluacin
bsica de los niveles de capacidad de los procesos actuales de TI
de una organizacin usando como referencia los procesos de COBIT
En qu consiste el Programa de Evaluacin?
10/02/2014 54
-
0 -
Alineamiento Modelamiento de Procesos Comparacin COBIT 4.1 y
COBIT 5 Mapeo con otros Frameworks
Ejercicios
